Konu: Kişisel Verileri Koruma Kurulu Tarafından 18.05.2021 Tarihinde Yayınlanan Karar Özetleri

 

  1. Belediyeler tarafından sunulan internet hizmetleri”ne ilişkin Kişisel Verileri Koruma Kurulunun 25/02/2021 tarih ve 2021/140 sayılı Karar Özeti

 

Kişisel Verileri Koruma Kurumu’na (“Kurum”) iletilen çeşitli ihbarlarda belediyelerin internet üzerinden emlak vergisi veya beyan bilgisini sorgulama sayfalarında yalnızca TC. kimlik numarası girilerek vatandaşın emlak bilgilerine ulaşılmasının 6698 Sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) açısından sorun teşkil ettiği ifade edilmiş ve bu hususun Kurum tarafından incelenmesi talep edilmiştir. Buna istinaden Kurum tarafından yapılan inceleme ve değerlendirmelerde;

  • KVKK’nın 12. maddesinin 1. fıkrası kapsamında veri sorumlularının veri güvenliğini sağlamaya ilişkin olarak kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla gerekli idari ve teknik her türlü tedbiri almakla yükümlü oldukları,

  • Anılan maddenin 4. fıkrası uyarınca veri sorumlularının ve veri işleyenlerinin öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına açıklamasının ve işleme amacının dışında kullanmasının yasaklanmış olduğu,

  • Kurum tarafından yayınlanan “Kişisel Veri Güvenliği Rehberi”nde kişisel veri içeren sistemlere erişimin sınırlı olması gerektiği, kişilere yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınması ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanabileceği, ayrıca uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanmasının önemli olduğu hususlarına yer verildiği,

  • Bazı belediyeler tarafından internet üzerinden verilen vergi ödeme hizmetlerinin üyelik ve şifre ya da çift doğrulama yolu ile sisteme giriş yapılması sureti ile gerçekleştirildiği ve bu uygulamaların KVKK’ya uygun olduğu; ancak bazı belediyeler tarafından sunulan hızlı sorgulama ya da borç ödeme uygulamalarında sadece tek bir bilgi girilerek kişilerin borç bilgisine ulaşılabildiği; her ne kadar kişiye ait isim ya da mülke ilişkin bilgilere erişim mümkün olmasa da borca ilişkin bilgiye erişim sağlanabildiğinin anlaşıldığı, bu durumun KVKK’nın 12. maddesine aykırı olduğu

Belirtilmiş ve;

  • Belediyelerin KVKK’ya aykırı uygulamaları hakkında Çevre ve Şehircilik Bakanlığı’na ve Türkiye Belediyeler Birliği’ne bilgi verilmesine ve

  • Tek bir bilginin girilerek (örneğin TC kimlik no, vergi no gibi) kişilerin borç ya da emlak bilgilerine erişim sağlanmasına yönelik uygulamalar yerine belediyeler tarafından sunulan emlak vergisi, beyan bilgisi veya benzeri nitelikteki hizmetlere ilişkin sorgulama sayfalarında veri güvenliğini arttırmaya yönelik olarak gerekli idari ve teknik tedbirlerin alınması, bu bağlamda örneğin çift katmanlı doğrulamayı mümkün kılabilecek şekilde TC kimlik numarası ya da vergi numarasının girilmesinin yanı sıra kişilerden farklı kişisel verilerin de talep edilmesi, SMS ile doğrulama, üyelik yapılması gibi yöntemlerin seçilmesi ve bu itibarla belediyelerin hizmet sunma yöntemlerinin KVKK ve ilgili mevzuat çerçevesinde yeniden değerlendirilerek gerekli önlemlerin alınması hususunda Belediyelerin talimatlandırılmasına

karar verilmiştir.

  1. İlgili kişinin kişisel verilerinin site yönetim hizmetini sağlayan veri sorumlusu şirket tarafından bir mobil uygulama ile hukuka aykırı olarak paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 13/04/2021 tarihli ve 2021/359 sayılı Karar Özeti

İlgili kişi tarafından Kurum’a intikal ettirilen şikayette özetle;

  • İkamet etmekte olduğu sitenin yönetiminden sorumlu şirketin (“Şirket”) kendisine ait telefon numarasını yönetim hizmetleri kapsamında kullanılan bir mobil uygulama ile rızası dışında paylaştığı ve

  • İlgili uygulamadan kendisine bilgi mesajı gönderildiği belirtilerek KVKK kapsamında gerekli yaptırımların uygulanması talep edilmiştir.

Şikayetçi tarafından intikal ettirilen şikayete istinaden Şirketten savunması istenmiş olup Kurum’a gönderilen savunma yazısında özetle;

  • Şikayetçi tarafından ikamet edilen sitenin yönetimi (“Site Yönetimi”) ile Şirket arasında hizmet akdine dayanan hukuki ilişki olduğu,

  • Anılan sözleşme kapsamında Şirketin Kat Mülkiyeti Kanunu ve Site Yönetim Kurulu kararlarına uygun olacak şekilde; sitenin ortak alanlarında çalışacak personelin istihdamı ve çalıştırılması, site yönetim faaliyetlerine danışmanlık verilmesi, sitenin finansal durumunun analizi ve bilanço hazırlanması, site denetim kurulunun denetim işlemleri sırasında refakat edilmesi ve sitenin gelir-gider muhasebe işlemlerinin usule uygun olarak yapılması kapsamında hizmet verdiği,

  • Şirketin, bir yönetim firması olduğu ve yönetim firması olması sebebiyle hizmetlerini sunarken birçok yönetim programından yararlanıldığı, kişisel verilerin aktarıldığı iddia edilen uygulamanın da Şirketin bu anlamda yönetim hizmetlerini verirken kullandığı bir program olduğu, site sakinlerinin kişisel verilerinin kesinlikle üçüncü kişilerle paylaşılmadığı, muhtemel olarak ilgili kişinin kendisinin programa kaydolduğundan SMS ile bilgilendirme aldığı,

  • Söz konusu uygulamayı sunan ve geliştiren yazılım şirketi (“Uygulama Hizmeti Sunan Şirket”) ile Şirket arasında hizmet sözleşmesi bulunduğu, ilgili kişiye ait kişisel verilerin mezkur uygulamaya aktarılması ya da uygulamaya kaydının taraflarınca yapılması gibi bir durumun söz konusu olmadığı, Şirket tarafından üçüncü kişilerden gelen yüksek meblağlı bir ürünle ilgili indirim haberinin site sakinlerince yönetim hizmetlerinin gerçekleştirilmesi adına hali hazırda kullanılan bir uygulama (“İlk Uygulama”) üzerinden site sakinlerine bilgi verme amaçlı olarak bildirildiği, kişisel verilerin aktarıldığı iddia edilen yeni uygulamaya (“İkinci Uygulama”) üye olmayı gerektiren bu indirimden yararlanabilmenin tamamen ilgili kişinin inisiyatifinde olduğu, ilgili kişinin kendi seçimi ile yeni uygulamaya/ikinci uygulamaya kaydolduğu, bu çerçevede aydınlatılmanın söz konusu uygulama ve ilgili kişinin arasında bir durum olduğu ve

  • İlgili kişinin mezkur uygulamaya kaydının Şirket tarafından yapılmadığı ile ilgili kişinin uygulamaya kendi özgür iradesiyle kaydolduğu

Belirtilmiştir. Uygulama Hizmeti tarafından Kurum’a iletine cevap yazısında ise;

  • Şirket ile aralarında akdedilen hizmet sözleşmesi kapsamında Şirkete bulut hizmeti sağlandığı, sisteme kullanıcı kaydı ve girişi, hesap oluşturma ve sair tüm işlemlerin hepsinin Şirket tarafından oluşturulduğu, bu sebeple kendilerinin veri sorumlusu değil veri işleyen olarak sorumlu oldukları,

  • Sunulan bulut program hizmetinin bir sözleşmenin kurulması veya ifası ile doğrudan doğruya ilgili olduğu, Şikayetçi ilgili kişinin ikamet ettiği sitede 634 sayılı Kat Mülkiyeti Kanunundan kaynaklanan borç ve yükümlülüklerin gereklerinin ifası için sitede ikamet eden kişilerin verilerinin işlenmesinin zorunlu olduğu,

  • İlgili kişinin kişisel verilerinin KVKK m. 5 uyarınca “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebebine dayanarak işlendiği ve bu nedenler ilgili kişinin açık rızasına gerek olmadığı, açık rızanın aranacağı düşünülse bile söz konusu aydınlatma ve açık rızanın alınması yükümlülüğünün veri sorumlusu olan Şirkete ait olduğu,

  • İlgili kişinin kişisel verilerinin Şirket tarafından elde edilerek bulut sisteme girişinin yapıldığı ve bu giriş kaydı akabinde bulut programının otomatik olarak ilgili kişiye kayıt mesajı gönderdiği,

  • Şirket ile aralarındaki hizmet sözleşmesi kapsamında gerçekleşecek platform değişikliği ve/veya ek platform kullanımı sebebiyle; halihazırda yönetim hizmetlerinin ifası için kullanılan İlk Uygulamada kayıtlı verilerin şikayete konu edilen İkinci Uygulamaya aktarılabilmesi için Şirketin bilgisi ve isteği dahilinde İlk Uygulamaya giriş yetkisi tanımlaması yapıldığı ve bu tanımlama ile birlikte platform değişikliği ve/veya ek platform kullanımı sonucu İlk Uygulamada kayıtlı verilerin İkinci Uygulamaya otomatik olarak aktarıldığı,

  • Şirket tarafından İlk Uygulamaya kaydı yapılan kullanıcıların bilgi aktarımının otomatik olarak İkinci Uygulamaya yapıldığı ve ilgili kişinin sisteme giriş yapabilmesi için telefon numarasına bilgilendirme SMS’i gönderildiği

Belirtilmiştir. Yapılan incelemeler doğrultusunda Kurul tarafından 13/04/2021 tarih ve 2021/359 sayılı Karar ile;

  • Şirket ile Site Yönetimi arasında akdedilmiş olan sözleşme kapsamında Şirket tarafından ilgili kişinin ikamet ettiği sitede yönetim hizmetleri verildiği, bu anlamda söz konusu hizmetlerin ifası gereği Şirket tarafından 3. kişilerle sözleşme yapabileceği ve bu sözleşmeler kapsamında sorumluluğun Şirket’e ait olduğu,

  • Şirket’in ilgili kişinin kişisel verilerin aktarıldığı iddia edilen İkinci Uygulamayı sunan Uygulama Hizmeti Sunan Şirket ile hizmet sözleşmesi akdettiği ve bu sözleşmenin eki niteliğinde olan KVKK Protokolünde hizmet sözleşmesinde Şirket’in veri sorumlusu sıfatını haiz olduğuna yer verildiği dikkate alınarak Şirket’in veri sorumlusu sıfatını haiz olduğu ve Uygulama Hizmeti Sunan Şirket’in ise Şirket’in verdiği yetki kapsamında onun adına veri işleme faaliyetini gerçekleştiren veri işleyen sıfatını haiz olduğu,

  • Veri sorumlusu Şirket ve veri işleyen Uygulama Hizmeti Sunan Şirket arasında akdedilmiş olan Protokolün “Protokol Koşulları” başlıklı maddesinde; Şirketin uygulamayı kullanarak, elektronik ortamda veya sair şekillerde bilgi, belge ve veri paylaşacağı, Şirketin uygulama ile paylaşacağı her türlü verinin sözleşme ilişkisi kapsamında uygulamaya aktarıldığını ve KVKK anlamında gerekli kabul edilmesi halinde Protokolün paylaşılacak her türlü kişisel veri bakımından açık rıza niteliğinde olduğunu kabul, beyan ve taahhüt edeceği,  ve ilgili kişilerin KVKK kapsamında açık rıza vermesi gerekli ise ilgili kişilerin verilerinin uygulama ile paylaşılması hususunda ilgili kişilerden açık rıza aldığını kabul beyan ve taahhüt edeceği

  • Şikayet kapsamında Uygulama Hizmetini Sunan Şirketten alınan cevap yazısından; Şirket ile aralarındaki hizmet sözleşmesi ile birlikte gerçekleşecek platform değişikliği ve/veya ek platform kullanımı sebebiyle ilk uygulamada kayıtlı verilerin ikinci uygulama ile paylaşılabilmesi için veri sorumlusu Şirketin bilgisi ve isteği dahilinde ikinci uygulamaya giriş yetkisi tanımlaması yapıldığı ve bu tanımlama ile birlikte platform değişikliği ve/veya ek platform kullanımı sonucu ilk uygulamada kayıtlı verilerin otomatik olarak ikinci uygulama ile paylaşıldığı ve ilgili kişinin sisteme giriş yapabilmesi için telefon numarasına bilgilendirme SMS’i gönderildiği,

  • Bu kapsamda, veri sorumlusu Şirket her ne kadar ilgili kişinin kişisel verilerini ikinci uygulama ile paylaşmadığını iddia etse de, bu uygulama ile aralarında akdedilmiş olan Protokol maddelerine ve Uygulama Hizmeti Sunan Şirketten alınan cevap yazısına göre taraflar arasında söz konusu kişisel veri paylaşımı hususunun mümkün olduğu; keza Uygulama Hizmeti Sunan Şirketten alınan cevap yazısından da veri sorumlusu Şirketin kullanmış olduğu ilk uygulamada mevcut verilerin ikinci uygulama ile paylaşılması kapsamında veri sorumlusu Şirket tarafından ikinci uygulamaya yetki tanındığı, bu yetki çerçevesinde aralarında ilgili kişinin de bulunduğu ilk uygulamadaki kullanıcı bilgilerinin ikinci uygulama ile paylaşıldığı,

  • İkinci uygulamaya katılımın, site yönetim işlerinden ayrı bir amaca hizmet ettiği ve isteğe bağlı olduğunun anlaşıldığı, bu uygulamaya ilgili kişilerin katılımını sağlamak amacıyla kişisel verilerin işlenmesinin ise KVKK’nın 5. maddesinde yer alan veri işleme şartlarına dayandırılamayacağı ancak ilgili kişinin açık rızası ile gerçekleştirilebileceği, diğer taraftan somut hadisede ise ilgili kişinin açık rızasının alınmadığı hususları göz önünde bulundurulduğunda kişisel verilerin hukuka aykırı işlendiği

Tespit edilmiş ve bu değerlendirmeler doğrultusunda Kurul tarafından;

  • Kişisel verilerin aktarıldığı iddia edilen uygulamaya katılımın, site yönetim işlerinden ayrı bir amaca hizmet ettiği ve isteğe bağlı olduğu, bu uygulamaya ilgili kişilerin katılımını sağlamak amacıyla kişisel verilerin işlenmesinin KVKK’nın 5. maddesinde yer alan işleme şartlarına dayandırılamayacağı ancak ilgili kişinin açık rızası ile gerçekleştirilebileceği, ilgili kişinin açık rızasının ise alınmadığı hususları göz önünde bulundurularak kişisel verilerin hukuka aykırı işlendiği kanaatine varılmış olup, bu çerçevede Kanunun 12. maddesinin 1. fıkrası hükmüne aykırı hareket eden veri sorumlusu Şirket hakkında KVKK m. 18 uyarınca 100.000 TL idari para cezası uygulanmasına

Karar verilmiştir.

  1. Bir sigorta şirketi tarafından hizmetin açık rıza şartına bağlanması hakkındaki ihbar” ile ilgili olarak Kişisel Verileri Koruma Kurulunun 20/04/2020 tarihli ve 2021/389 sayılı Karar Özeti

Şikayetçi tarafından Kurum’a intikal ettiren şikayette özetle;

  • Bir sigorta şirketi ile (“Şirket”) bireysel emeklilik sözleşmesi (“BES”) yaptırdığı,

  • Şirketin internet sayfasından poliçe bilgilerine ulaşmak için giriş yapmaya çalıştığında bir onay kutucuğu sunularak kişisel verilerin işlenmesine rıza göstermek zorunda bırakıldığı, bu kutucuğu işaretlememesi halinde hiçbir işlem yapamayacağının anlaşıldığı, ancak kişisel verilerinin işlenmesine onay vermek zorunda bırakılmasının hukuka aykırı olduğu belirtilerek KVKK kapsamında gereğinin yapılması talep edilmiştir.

Buna istinaden Kurum tarafından Şirketten savunması talep istenmiş olup, Şirket tarafından gönderilen savunma yazısında özetle;

  • İnternet sayfası üzerinden müşterinin kim olduğunun anlaşılması, kimlik doğrulamasının yapılabilmesi, tazminat taleplerinin alınabilmesi, poliçe/sözleşme ve teminatlarının kontrolü, hasar takibi, müşteri talebi doğrultusunda ya da otomatik olarak müşteriye e-posta ile bilgilendirme yapılması amaçlarına yönelik müşterilere ait kişisel veri ve özel nitelikli kişisel verilerin işlenebildiği,

  • Bu kişisel verilerin kimlik numarası, telefon numarası, doğum tarihi, baba adı, kişiye ait sağlık bilgileri, sağlık hizmeti faturaları ve buna bağlı sağlık harcama bedeli talepleri, e-posta adresi olarak sıralanabileceği ve bu verilen KVKK2ya uygun olarak işlendiği,

  • İnceleme konusu olan uygulamanın ilgili hizmetlerin verildiği tek mecra olmadığı ve söz konusu hizmetlerin kişisel verilerin işlenmesinde alınan açık rıza şartına bağlanmadığı,

  • Şirketin hem KVKK ve ilgili mevzuat hem de ticari elektronik iletiler hakkında mevzuat gereğince ilgili kişileri aydınlatma/bilgilendirme ve gerektiğinde bu aydınlatmanın yapıldığını da ispat etme yükümlülüğü bulunduğu, bu sebeple uygulama girişinde ilgililere aydınlatma metni iletildiği, sağlık verileri başta olmak üzere yukarıda belirtilmiş olan kişisel verilerin işlenmesi söz konusu olabileceğinden, bir kez sisteme bağlanan bir kullanıcının, web üzerinden sunulmakta olan başka hizmetleri de almak isteyebileceğinin önceden öngörülmesi mümkün olmadığından, açık rıza talep edilmesi gerektiğinin düşünüldüğü,

  • Şirket tarafından internet sayfası üzerinden sunulmakta olan ürün ve hizmetlere asıl erişimin Türkiye’nin hemen her noktasında faaliyet gösteren sigorta acenteleri aracılığı ile sağlandığı, çağrı merkezinin de müşterilere kesintisiz olarak hizmet verdiği; ayrıca, başka bir alternatif olarak da Şirketin kurumsal internet sayfası ve mobil uygulamaları ile müşterilere bir takım ürünlere elektronik ortamdan da erişme imkânı sunulduğu, dolayısıyla Şirketin internet sayfası üzerinden sunulan çeşitli hizmetlere ulaşılabilecek başka mecra ve kanalların da mevcut olduğu,

  • Şirketin açık rıza bildirimi ve aydınlatma bildirimlerinin internet sayfasında yer alan iki ayrı linkte yer aldığı

Belirtilmiştir. Yapılan incelemeler neticesinde Kurul tarafından verilen 20/04/2021 tarih ve 2021/389 sayılı Karar ile;

  • Şirketin cevabi yazısında belirttiği linklerde, “Online İşlemler” sayfasında sisteme giriş için doldurulması gereken kutucukların alt kısmında “Gizlilik ve Kişisel Verilerin Korunması Esasları’nı okudum, kabul ediyorum. Burada paylaşmış olduğum kişisel/özel nitelikli kişisel verilerimin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuat çerçevesinde işlenmesine açık rıza veriyorum.” ifadesine yer verildiği, “Gizlilik ve Kişisel Verilerin Korunması Esasları” ibaresinin üzerine tıklandığında ise aydınlatma metninin açıldığının tespit edildiği, veri sorumlusunun cevabi yazısında belirtilmiş olan her iki linkte de yer alan aydınlatma metinleri incelendiğinde, söz konusu metinlerin birebir aynı olduğunun anlaşıldığı,

  • Her iki aydınlatma metninde de “Sigorta poliçeleri ve emeklilik sözleşmelerinin taraflarına ait kişisel/özel nitelikli kişisel veriler; acentelerimiz, internet uygulamalarımız ve çağrı merkezimiz aracılığı ile doğrudan doğruya sizlerden ve sigorta sözleşmelerinden kaynaklanan yükümlülüklerin yerine getirilebilmesi için kamu kurumları tarafından tarafımıza erişim yetkisi verilen veri tabanlarından derlenmektedir.” ifadelerine yer verildiğinin görüldüğü,

  • Metinlerin devamında kişisel verileriniz, “6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuat çerçevesinde sadece sigortacılık faaliyetlerinin yürütülmesi amacı ile ve bu amacın gerektirdiği yasal sürelerle sınırlı olarak işlenmektedir.” şeklinde açıklama yapıldığı, bu anlamda hukuki sebep olarak KVKK’da düzenlenen 5. veya 6. maddelerden hangisine veya hangilerine dayanıldığına ilişkin bir bilgilendirmede bulunulmadığının anlaşıldığı,

  • Mezkur metinde yer alan “sigortacılık ve sair mevzuat” ibaresinin muğlak olduğu, zira kişisel verilerin aktarımı hangi mevzuat kapsamında gerçekleştiriliyor ise ayrı ayrı açıkça belirtilmesi gerektiği, ayrıca metinde yer alan kurum ve kuruluşların isimlerinin de güncellenmediğinin anlaşıldığı,

  • Şikayete konu online sistemde tek bir kutucuk işaretlendiğinde ilgili kişinin hem aydınlatma metnine hem de kişisel verilerinin işlenmesine onay verdiği, ancak Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (“Tebliğ”) uyarınca, kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiğinin hüküm altına alındığı, dolayısıyla kişisel verilerin işlenmesinin hukuki sebebinin açık rıza olduğu durumlar için ayrı bir açık rıza metninin de oluşturulması gerektiği,

  • Açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi gerektiği ve bu doğrultuda veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması ve mutlaka verinin işlemesinden önce yapılması gerektiği,

  • Diğer taraftan, kişisel verilerin işlenmesinde hukuki sebepleri düzenleyen KVKK m. 5 hükmünde yer alan hallerden birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,

  • KVKK’nın 4. maddesinde, kişisel verilerin ancak KVKK’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ve kişisel verilerin ancak KVKK m. 4’te sayılan ilkelere uyulması suretiyle işlenebileceği,

  • Öte yandan, 4682 sayılı Bireysel Emeklilik Tasarruf ve Yatırım Sistemi Kanunu’nun (“4682 sayılı Kanun”) 4. maddesinin birinci fıkrasına göre; “Sisteme katılmak için şirket ile emeklilik sözleşmesi akdedilir. Emeklilik sözleşmesi; şirket nezdinde bireysel emeklilik hesabı açılması, hesaba katkı payı ödenmesi, ödenen katkı paylarının tercih edilen fonlarda yatırıma yönlendirilmesi ve hesapta biriken paraların hak sahiplerine ödenmesine ilişkin esas ve usuller ile tarafların bu kapsamdaki diğer hak ve yükümlülüklerini düzenleyen sözleşmedir. Emeklilik sözleşmesi, katılımcı ile bireysel emeklilik sözleşmesi şeklinde veyahut bir istihdam ilişkisine dayalı olarak veya katılımcı adına bir kuruluş ile grup emeklilik sözleşmesi şeklinde yapılabilir. Emeklilik sözleşmesine ve emeklilik sözleşmesinde bulunacak hususlara ilişkin esas ve usuller Kurulun görüşü alınarak Müsteşarlık tarafından belirlenir.” Hükmünü amir olduğu,

  • 09.11.2012 tarihli Resmi Gazetede yayımlanan Bireysel Emeklilik Sistemi Hakkında Yönetmeliğin (“BES Yönetmeliği”) 3. maddesinin 1. fıkrasının (z) bendine göre teklif formunun, emeklilik planına, plan kapsamında sunulan fonlara, yapılan kesintilere, katkı payı tutarına, emeklilik sözleşmesinin taraflarına ve katılımcının yatırım tercihlerine ilişkin hususlar ile benzeri bilgileri içeren form olarak tanımlandığı, yine, anılan Yönetmeliğin “Bilgilendirme, teklif ve sözleşmenin düzenlenmesi” başlıklı 5 inci maddesinde; “Şirket, bireysel emeklilik sistemine girmek isteyenlere, sisteme girme kararını etkileyebilecek hususlar hakkında bilgi verir; dürüstlük ilkeleri çerçevesinde, emeklilik sözleşmesinin müzakeresi ve düzenlenmesi sırasında katılımcıya veya sözleşmeyi düzenleyen sponsora veya işverene sistemin işleyişine ilişkin teknik konularda yardımcı olur, tarafların hak ve yükümlülüklerine ilişkin gerekli her türlü bilgiyi sağlar, yanıltıcı her türlü hâl ve davranıştan kaçınır. Bakanlık ilgililere yapılacak bilgilendirmenin asgari içeriğini ve yöntemini belirler. Şirket, kişinin emekliliğe yönelik beklentilerine, gelir düzeyine ve yaşına uygun bir emeklilik planı teklifi sunar. (…)” hükmünün yer aldığı,

  • Şikayet konusu uygulamanın kullanımında talep edilen verilerin veri sorumlusunun internet üzerinden sunduğu hizmetlerde şifre dışında geliştirilen bir yöntem olarak görülebileceği, bu durumda, veri sorumlusunun anılan kişisel veriler için KVKK’nın 5. maddesinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması”  veri işleme şartına dayanacağı değerlendirildiğinden hizmetin açık rıza şartına bağlanmasından söz edilemeyeceği,

  • Bununla birlikte ihbara konu olayda söz konusu uygulamanın kullanımı için sunulan aydınlatma metninde aynı zamanda kişisel verilerin işlenmesi için açık rıza alındığı, dolayısıyla veri sorumlusunun savunmasında açık rıza ve aydınlatma kavramlarını iç içe geçmiş belirsiz bir biçimde kullandığının görüldüğü, bu noktada söz konusu kişisel veri işleme faaliyetinin hukuki sebebinin açık bir şekilde ifade edilmesinin veri sorumlusunun yükümlülüğü olduğunun altının çizilmesi gerektiği,

  • Veri işleme faaliyetinin KVKK’da yer alan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmadığı ve veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı ve bu durumun ise KVKK m. 4’te düzenlenen “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık teşkil ettiği

Tespit edilmiş olup, veri sorumlusu Şirket hakkında;

  • KVKK m. 5’te yer alan diğer işleme şartları mevcut iken ilgili kişilerin açık rızasının alınmasının “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırı olduğu dikkate alındığında KVKK’nın 12. maddesinde yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında söz konusu uygulamanın ihbar eden dışında pek çok kişi üzerinde olumsuz etki doğurabileceği, veri sorumlusunun sunduğu hizmet bakımından geniş bir müşteri kitlesi bulunduğu, Şirketin kusuru, ekonomik durumu ve haksızlık içeriği gibi hususlar da göz önünde bulundurularak KVKK m. 18 uyarınca 250.000 TL idari para cezası uygulanmasına,

  • Açık rıza alınması ile ilgili kişiye aydınlatma yapılması tek bir onaya bağlandığından açık rıza ve aydınlatma metinlerinin ayrı ayrı düzenlenmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına ve

  • Aydınlatma metninde muğlak ifadelere yer verildiği dikkate alındığında veri sorumlusunun aydınlatma yükümlülüğünü Kanun ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümleri ile uyumlu olacak şekilde düzenlenmesi ve sonucundan Kurula bilgi verilmesi hususunda talimatlandırılmasına

Karar verilmiştir.

  1. Bir hastanenin veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 20/04/2021 tarih ve 2021/407 sayılı Karar Özeti

 

Veri sorumlusu bir hastane tarafından Kurul’a intikal ettirilen veri ihlal bildiriminde özetle;

  • Veri ihlalinin; hastanede çalışan hekimin hastalarına ait dosyaların arşivden alınarak kendisinin talimatıyla bazı hastane çalışanları aracılığıyla hastane dışına çıkarılmasıyla gerçekleştiği,

  • Veri ihlalinin; dosyaları hastane dışına çıkarmaya teşebbüs eden bir çalışanın görülmesinden 17 gün sonra kamera kayıtlarının incelenmesi neticesinde tam olarak tespit edildiği,

  • İhlalden; 789 hastanın etkilendiği, ancak 54 dosyanın teslim alınarak yedieminliğe teslim edildiği,

  • İhlalden; kimlik, iletişim, sağlık bilgileri ve genetik verilerin hasta kartında yer alan bilgilerin (T.C Kimlik numarası, adı, soyadı, baba adı, ana adı, sosyal güvenlik numarası, özel sigorta, anlaşmalı kurum, çalıştığı kurum, uyruğu, doğum tarihi, cinsiyet, medeni hali, kan grubu, mesleği, vergi dairesi, vergi numarası, adres, posta kodu, e-posta, ev telefonu, iş telefonu, cep telefonu, son randevu cep ve ev telefonu, sigortalı durumu, emekli olup olmadığı, poliçe numarası, engel durumu, çalışan adı, tedavi olunan doktorlar ve branşlar gibi bilgiler) ile hasta dosyası anamnez içeriğinin (kullandığı ilaçlar, alışkanlıklar, alerjik öyküsü, soygeçmiş, psikolojik durum, bulgular, laboratuvar tetkikleri, ön tanı, tanı, tedavi ve bakım planı, geçirmiş olunan hastalıklar, ameliyatlar vb. bilgiler) etkilendiği,

  • İhlalin gerçekleşmesinden önce ihlal ile ilgili çalışanlardan (eski çalışan dahil 9 kişi) biri hariç hepsinin kişisel verilerin korunması eğitimi aldığı ve

  • İhlalin tespit edilmesinden 25 gün sonra Kurum’a bildirildiği ve geç bildirim sebebi olarak; ilgili dosyaların hastaneden çıkartılırken hastane yönetimi tarafından suçüstü yakalandığı, hemen polis çağırılarak, dosyanın polis nezaretinde hastaneye teslim edilmesi ile verilerin dışarı çıkartılmasına engel olunarak veri ihlalinin oluşmasının önlendiği hususlarına rağmen kriz masasının oluşturulduğu, kovuşturmanın derinleştirilmesine karar verildiği, bu maksatla; doktor ve ekibinden savunmaların alındığı, doktorun takip ettiği dosyaların tarandığı, arşiv, poliklinik, otopark başta olmak üzere hastanenin çeşitli alanlarına ilişkin kamera kayıtlarının incelendiği ve nihayetinde yapılan inceleme ve tahkikatlar neticesinde görülen lüzum üzerine savcılığa suç duyurusunda bulunulduğu ve Kurum’a bildirim yapıldığı şeklinde açıklandığı

belirtilmiştir. Konuya ilişkin yürütülen inceleme Kurul tarafından verilen 20/04/2021 tarih ve 2021/407 sayılı Karar ile;

  • Kamera kayıtlarının kontrolünün sağlanmadığı, hastalara ait kayıtların tutulduğu arşiv odasına yetkili olmayan kişilerin girebildiği ve başhekimliğin izni olmadan hastalara ait kişisel veri/özel nitelikli kişisel verilerin yer aldığı dosyaların arşivden çıkartılabildiği hususlarının veri güvenliğinin sağlanmasını temin etmeye yönelik fiziksel ortamların güvenliğini sağlayacak idari tedbirlerin yeterli ölçüde alınmadığının göstergesi olduğu,

  • İhlalden 789 hastanın etkilendiği ancak karakol tutanağına göre tespit edilen 54 adet hasta dosyasının geri alınarak yedieminliğe teslim edildiği, geri kalan dosyaların akıbetinin ise bilinmediği dikkate alındığından hasta dosyalarının kaybolması durumunun önlenemediği ve bu durumun söz konusu hasta dosyalarının kaybolmasına yönelik risklerin azaltılmasına dair yeterli tedbirlerin alınmadığını gösterdiği,

  • İhlalden; kimlik, iletişim, lokasyon, özlük, genetik veri, sağlık verileri gibi veri kategorilerine ait çok sayıda kişisel verinin ve özel nitelikli kişisel verinin etkilenmiş olduğu ve ihlal sebebiyle ilgili kişilerin önemli olumsuz etkilere maruz kalmaları olasılığının bulunduğu,

  • İhlal ile ilgili olan çalışanların, sağlık verileri ve genetik veriler de dahil olmak üzere özel nitelikli çok sayıda kişisel verinin işlenme sürecinde yer aldığı göz önünde bulundurulduğunda; veri sorumlusu tarafından çalışanlara tanımlanan kişisel verilerin korunması eğitiminin tamamlanmasının sağlanmadığı, Kuruma gönderilen belgelerde yer alan bilgilerin incelenmesi neticesinde; münhasıran kişisel verilerin korunmasına yönelik eğitimin; sadece 3 çalışan tarafından alınmış olduğu, kişisel verilerin korunması eğitiminin diğer çalışanlara tanımlanmış olmasına rağmen söz konusu çalışanların eğitimlere hiç başlamadıkları ve bu hususta hastane tarafından bir aksiyon alınmadığı, 3 çalışanın kişisel verilerin korunması eğitimi aldıkları ifadesinin “Kalite Müdürlüğü Eğitimi” başlığı altında yer alan konulardan biri arasında kişisel verilerin korunmasının yer almasına istinaden yapıldığı, 2 çalışana ihlalin başlangıç tarihinden sonra eğitim verilmiş olduğu, eğitim tanımlanan 1 çalışanın ise kişisel verilerin korunması ile ilgili hiçbir eğitim almamış olduğu, eski çalışanın kişisel verilerin korunması ile ilgili eğitim almış olmasına rağmen arşiv odasındaki belgelerin taşınmasına yardım ettiğinin anlaşıldığı, bu durumun ise çalışanlara kişisel verilerin korunmasına yönelik yeterli eğitimin verilmediğinin göstergesi olduğu,

  • İhlal şüphesini doğuran olayların bulunmasına rağmen; ihlalin 17 gün sonra tespit edilmesinin veri sorumlusu tarafından kişisel veri güvenliği politika ve prosedürlerinin iyi bir şekilde hazırlanmadığı veya takip edilmediği, ayrıca bu durumun alınan mevcut güvenlik önlemlerinin etkili kullanılamadığı hususlarının göstergesi olduğu,

  • İhlalin tespit edilmesinden 25 gün sonra Kurum’a bildirildiği ve bu bildirimin KVKK ve sair mevzuat çerçevesinde öngörülen makul sürede yapılmadığı ve

  • İlgili kişilerden hastaneye gelen bir kişi dışında, hiçbirine ihlalin bildirilmemiş olduğu

Değerlendirmelerinden hareketle, veri sorumlusu hastane hakkında;

  • KVKK’nın 12. Madde hükmü ve “Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararında” yer alan ‘en kısa sürede’ ifadesinin 72 saat olarak yorumlanmasına yönelik ifadeleri çerçevesinde bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak KVKK m. 18 uyarınca uyarınca 150.000 TL idari para cezası uygulanmasına ve

  • İlgili kişilere Kurul’un 24.01.2019 tarih ve 2019/10 sayılı Kararında yer alan hususları içeren bir bildirim yapılarak sonucundan Kurul’a bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,

  • KVKK’nın 12. Maddesi çerçevesinde veri güvenliğini sağlamaya yönelik gerekli tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL idari para cezası uygulanmasına,

karar verilmiştir.